Blog

Le shadow It représente-t’il véritablement une menace pour les entreprises ?

Le Shadow IT représente-t-il une menace pour les entreprises ?

 

Les employés qui utilisent des logiciels et des applications sans l’autorisation des DSI et, le plus souvent, sans que l’entreprise soit informée, pratiquent ce que l’on appelle le Shadow IT ou informatique fantôme. Cette utilisation incontrôlée et non réglementée d’outils informatiques crée de nouveaux défis pour les responsables informatiques en entreprise. Le principal relève de la sécurité, mais le Shadow IT pose aussi des problèmes de gouvernance et d’architecture ou d’intégration des systèmes. Les risques présentés par cette pratique sont réels. 

 

Mais le Shadow IT peut aussi présenter des avantages, de sorte que les spécialistes actuels des systèmes informatiques le considèrent à la fois comme une malédiction et une bénédiction pour les entreprises. En effet, l’informatique fantôme recèle un fort potentiel d’innovation et contribue à la productivité des collaborateurs, en favorisant l’agilité et la flexibilité des processus. Néanmoins, le Shadow IT peut mettre en péril les données sensibles de l’entreprise. Il peut aussi conduire à ce que les règles de conformité mises en place ne soient plus respectées.

 

Dans cet article, nous vous proposons de faire le point sur le Shadow IT et sur les risques que présente cette pratique. Nous verrons aussi comment contrôler l’informatique fantôme afin d’en faire un allié.

 

Qu’est-ce que le Shadow IT et pourquoi se développe-t-il ?

L’expression Shadow IT désigne toute forme de technologie que les employés utilisent dans les entreprises sans le consentement ou la connaissance du département informatique. Le Shadow IT n’est donc ni techniquement ni stratégiquement intégré aux systèmes informatiques officiels de la société. De quoi s’agit-il concrètement ? Par exemple, on peut parler de Shadow IT lorsque les collaborateurs de l’entreprise utilisent des clients de messagerie tiers pour communiquer. Les réseaux sociaux constituent un autre aspect du phénomène, dès lors que des sujets confidentiels ou liés au travail y sont discutés.

 

On parle également de Shadow IT face à des applications développées en interne par un service précis ou par des employés. Enfin, l’informatique fantôme recouvre aussi l’utilisation d’un matériel qui n’appartient pas à l’inventaire informatique officiel de l’entreprise : PC, imprimante, routeurs propres à un département spécialisé, tablettes, smartphones, etc.

 

Le Shadow IT apparaît le plus souvent lorsque les systèmes informatiques existant dans l’entreprise ne sont pas suffisants pour accomplir les tâches demandées. Si un service ou des collaborateurs sont confrontés à une tâche qui nécessite une nouvelle application, le premier réflexe devrait être d’aller voir le supérieur hiérarchique ou le responsable informatique pour demander une nouvelle solution, à intégrer au réseau de l’entreprise. Mais ce type de démarche peut prendre du temps et la tentation est forte d’appliquer soi-même un remède de type Shadow IT, sans attendre que les appareils et les applications soient intégrés à l’infrastructure informatique.

 

L’augmentation de la bureaucratie, les procédures complexes au sein des entreprises et une fusion croissante entre la vie privée et le travail constituent le terreau sur lequel croît une pratique comme le Shadow IT. 

 

Quels sont les risques liés au Shadow IT ?

Quels sont les risques ? Le Shadow IT est un phénomène très répandu dans les entreprises. Selon une enquête menée par Cisco, 80 % des utilisateurs en entreprise y ont recours, principalement sous la forme de logiciels non approuvés par le service informatique, mais nécessaires, selon l’usager, à la bonne marche du travail. Selon la même enquête, 8 % des entreprises ont conscience du risque, les autres n’ont généralement pas mesuré l’ampleur du phénomène et les failles de sécurité qui peuvent en résulter.

 

Que nous apprennent ces chiffres ? Tout d’abord l’ampleur du phénomène, mais aussi le risque qui, pour les entreprises, relève en grande partie d’une méconnaissance du Shadow IT. La pratique présente évidemment des dangers pour la sécurité informatique et celle des données sensibles. En effet, si l’appareil privé d’un employé est piraté, des informations internes à l’entreprise peuvent être divulguées à l’insu du service informatique. Le Shadow IT augmente le risque de perte de données ou de détournement d’informations sensibles. En outre, le Shadow IT peut entraîner des problèmes de conformité lorsque les politiques et les règles de l’entreprise ne sont plus respectées.

 

L’informatique fantôme recouvre un domaine très vaste, difficile à cerner par les responsables informatiques. Ils sont souvent démunis face au phénomène et ne savent pas comment le contrôler. De plus, l’utilisation par les collaborateurs d’applications externes peut faire obstacle à l’évolution ultérieure du réseau d’entreprise, en raison de l’anarchie que cette utilisation introduit dans l’architecture informatique.

 

Pourtant, il faut comprendre que dans une entreprise où les nouvelles technologies et les nouveaux processus peuvent être mis en œuvre rapidement, le Shadow IT n’est pas nécessaire. En d’autres termes, lorsque les employés utilisent des applications externes, c’est à l’entreprise qu’il revient de se remettre en cause et, si besoin est, d’effectuer un audit de ses services informatiques.

 

Comment contrôler le Shadow IT et en faire un moteur d’innovation ?

On aura compris que le Shadow IT est avant tout un symptôme. Certes, il pose problème, mais c’est aussi l’occasion pour l’entreprise de faire preuve d’innovation et de fournir aux employés les outils dont ils ont besoin. Cela passe par une phase de contrôle du Shadow IT. Pas question, en effet, de laisser se développer les pratiques informatiques de manière totalement anarchique !

 

Il existe plusieurs façons de contrôler le Shadow IT. La méthode la plus employée consiste à introduire des politiques de sécurité et des règles de conformité, clairement définies. Mais il est tout aussi important d’utiliser des mécanismes de contrôle comme des pare-feux ou des systèmes automatisés de surveillance de l’infrastructure. Enfin, la meilleure méthode consiste à offrir aux collaborateurs toutes les nouvelles technologies dont ils ont besoin pour être productifs.

Les entreprises qui peinent à éliminer les menaces que présente le Shadow IT ont tout intérêt à s’adresser à un spécialiste comme PYXYA, qui peut proposer une infrastructure sécurisée basée dans le cloud, des logiciels de type SaaS et des procédures d’authentification fortes. Les systèmes SD-WAN intelligents permettent aux collaborateurs de consulter les données sensibles à distance sans risque de perte de données ou de piratage.